内部系统,本来开放了一批 REST API ,结果有人 vibe coding 搞出来一大堆 404 。问了下一口咬定这 agent 自主调用跟他无关。
这得了?一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是??
赶紧把权限校验堵上,刷接口封 IP 的机制给加上。专门申请了个 redis 存 url path <-> IP 的关系,然后如果爆量,然后通过 IT 那边顺着网线找过去。。。。。。
🤣 🤣 🤣 🤣 🤣
内部系统,本来开放了一批 REST API ,结果有人 vibe coding 搞出来一大堆 404 。问了下一口咬定这 agent 自主调用跟他无关。
这得了?一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是??
赶紧把权限校验堵上,刷接口封 IP 的机制给加上。专门申请了个 redis 存 url path <-> IP 的关系,然后如果爆量,然后通过 IT 那边顺着网线找过去。。。。。。
🤣 🤣 🤣 🤣 🤣
1
xylophone21 4h 32m ago
权限校验 ✅
防爬虫和 WAF ❌ |
2
adoal 4h 21m ago
X-Y problem
|
3
tf2 OP |
4
PerFectTime 3h 59m ago
找 IT 通报啊,这种东西不需要使用技术手段进行管理,使用行政手段干预
|
5
sentinelK 3h 54m ago “一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是??”
贵司暴露一个高危 API ,不做任何鉴权保护,这和 AI 有啥关系…… |
6
tf2 OP @sentinelK 前面的兄弟跟你一样的问题,但是你猜猜 AI 遇到需要鉴权的是不是就束手无策了?
你猜猜让 AI 干活儿的会不会给自己登录信息? @PerFectTime 对的。就是准备干这个事。。。 |
7
PerFectTime 3h 41m ago
@tf2 #6 你怎么加限制给 ai 都没有用的,他都会想方设法绕过,雷霆行政手段出击即可
![]() |
8
tf2 OP @PerFectTime 我现在面临的问题是 感知。。以前内网 API 谁会去在意啊。所以得自己采集特征。跟 AI 对抗,很难绷。。。
|
9
winnerczwx 3h 29m ago
你的意思是 AI Agent 在无命令的情况下自主扫描接口, 组织参数并调用?
用的啥模型, 发出来避雷一下 |
10
PerFectTime 3h 25m ago
@tf2 #8 做日志审计就好了,然后做好 qps 限制,只记录不提醒
|
11
383394544 3h 17m ago
治标的办法是不要暴露 delete rest api ,而是设置删除状态 (soft-delete)。之后你们在后台跑脚本删
|
12
deplives 2h 53m ago
难绷, [一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是]
|
13
Greenm 2h 25m ago 反爬和 WAF 主要是防范来自于外部的恶意请求。
而你们现在最大的问题是内部自己人不知道如何使用 AI ,导致 AI 发出了超过自己控制的请求,也就是说这个东西你们掌控不住。 而 WAF 和反爬防不住发送请求到 DELETE 接口,只会给你们正常的工作带来困扰。 |